Quelles informations transmettre aux Ocam ? La Cnil dévoile sa position
Partager :
Dans un courrier adressé au directeur général de la Cnam, la Commission nationale informatique et libertés (Cnil) liste les principes à respecter, au regard du RGPD, pour la transmission des codes aux complémentaires santé.
La Cnil s’est prononcée sur la compatibilité de la transmission par la Cnam, dans le cadre de la mise en œuvre du 100 % santé, des codes affinés aux Ocam avec la réglementation sur la protection des données à caractère personnel. Après des échanges avec les organismes complémentaires et les professionnels de santé, elle a conclu que « le principe de minimisation des données, prévu par l’article 5-1-c) du Règlement général sur la protection des données (RGPD), doit s’appliquer de manière stricte pour identifier la granularité des données de santé à caractère personnel susceptibles d’être transmises aux Ocam ».
Ainsi, pour le panier 100 % santé (panier A pour l’optique), la Cnil confirme sur la base de ce principe que la transmission des codes regroupés semble suffisante pour permettre aux complémentaires santé de liquider les dépenses de santé. Elle précise cependant que quelques ajustements restent nécessaires, et que la Cnam y procédera rapidement, notamment pour l’audiologie, avec la création prochaine de deux codes de regroupement supplémentaires.
Hors Rac 0, rien n’est tranché
En revanche, pour la prise en charge des produits du marché libre (panier B pour l’optique), la Cnil ne prend pas de position ferme et ouvre le débat. Elle estime que le principe retenu implique de :
- réfléchir, au cas par cas, à l’étendue des données à transmettre, en prenant en compte les clauses contractuelles « fines » qui pourraient être inscrites au contrat de chacun des assurés ;
- s’interroger sur le bien-fondé d’un dispositif qui conduirait à transmettre de manière systématique certaines données de santé à caractère personnel aux Ocam (notamment des codes affinés, prescriptions médicales, devis, etc.).
Ces démarches devront s’assortir, selon la Cnil, d’une réflexion sur les modalités de mise en œuvre d’un tel dispositif en particulier en ce qui concerne les garanties visant à protéger les droits et libertés des personnes concernées. Il s’agira entre autres :
- d’examiner, en lien avec le ministère de la Santé et les Ocam, l’opportunité de maintenir l’actuelle demande des complémentaires santé d’obtenir des pièces complémentaires au titre de l’exécution des garanties contractuelles ;
- de sécuriser l’échange des données de santé nécessaires à la mise en œuvre du 100 % santé, en évitant par exemple la transmission des données via les messageries personnelles des assurés ;
- de travailler sur les codes affinés qui pourraient révéler une pathologie sans lien direct avec la prise en charge en optique, audiologie ou dentaire ;
- d’encadrer strictement les finalités de l’utilisation des codes affinés par les Ocam ;
- de limiter la durée de conservation des données et leur accès aux personnes en charge de la liquidation des prestations ;
- d’organiser, dans un délai d’un an, à compter de la mise en place de la transmission des codes affinés, des procédures d’audit pour apprécier l’utilisation de ces codes.
Diverses options sur la table
Pour la prise en charge des frais hors Rac 0 (panier B), la Cnil émet deux solutions :
- soit la transmission de ses données de santé à caractère personnel directement par l’assuré. Le caractère libre, spécifique, éclairé et univoque du consentement de l’assuré, devra alors être démontré.
Pour les contrats souscrits à titre individuel, le choix de l’organisme est déterminé directement par l’assuré. Dans ce cas, la validité du consentement de l’assuré ne saurait être remise en cause, précise la Cnil. En revanche, en ce qui concerne les contrats collectifs à adhésion obligatoire, elle juge plus difficile d’admettre la validité de ce consentement, car les termes du contrat sont imposés par les employeurs à leurs salariés. S’ils « prévoient la transmission de données de santé pour bénéficier de garanties contractuelles, les salariés assurés ne disposent pas d’une réelle liberté de choix de transmettre ou non leurs données à caractère personnel aux Ocam », analyse la Cnil.
- soit la transmission des codes affinés par la Cnam. Conformément au RGPD, le traitement des codes affinés par les Ocam, dès lors qu’il serait nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres aux complémentaire santé en matière de protection sociale, paraît fondé. Dans ce cas de figure, la Cnil envisage deux options, tout en les jugeant peu satisfaisantes. La première serait que la Cnam transmette les codes affinés aux Ocam au cas par cas, en prenant en compte les clauses du contrat de chaque assuré. Mais, si cette option est respectueuse du principe de minimisation (seules les informations strictement nécessaires sont communiquées), elle est complexe à mettre en œuvre d’un point de vue opérationnelle) et semble peu réalisable. La seconde option serait de transmettre systématiquement les codes affinés au Ocam, sous réserve de strictes garanties permettant de n’exploiter et conserver effectivement, dans des conditions à garantir, que les codes nécessaires. Mais dans ce cas, certaines données transmises pourraient, selon la nature des garanties prévues aux contrats, ne pas être strictement nécessaires à leur exécution.
« De plus, quelle que soit l’option retenue, ces codes, compte tenu de la nature des informations qu’ils véhiculent et du contexte de leur collecte, sont protégés par le secret médical au sens de l’article L. 1110-4 du code de la santé publique. Or, les dérogations à la règle du secret médical doivent être prévues par un texte de nature législative ou en être, selon la jurisprudence du Conseil d’Etat, la conséquence nécessaire », explique la Cnil, en ajoutant que le décret du 3 avril 2015 peut fournir un fondement juridique à la transmission des codes affinés aux Ocam.
Dans tout ce contexte, la Cnil considère que, pour la prise en charge des frais du marché libre, le cadre juridique applicable à la transmission des données de santé à caractère personnel aux Ocam devait être clarifié, voire consolidé. Elle invite à ce que des travaux soient conduits par le ministère des Solidarités et de la Santé, avec son appui, sur ce sujet.
Vous pouvez consulter le courrier de la Cnil en cliquant ici.